---
title: "Ordered Layer (Firewall Policy)"
type: concept
tags: ["AWS", "Firewall", "Checkpoint", "Network-Security", "Policy"]
sources: ["ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security"]
last_updated: 2026-04-28
---

## Definition
Ordered Layer 是 Checkpoint Firewall 中防火墙策略的组织结构——策略按优先级顺序排列的多层检查机制。流量必须逐层通过检查，全部通过后方可放行。与之对应的是 Inline Layer（基于账号编号的父子规则结构）。

## Mechanism
在 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 中，Pradeep 演示了 Checkpoint 在 Frankfurt Landing Zone 的 Ordered Layers：

1. **地理封锁（Geo-blocking）**：按来源/目标地理位置阻断流量
2. **类型检查（Type）**：基于资源的 `Type` 标签进行访问控制
3. **业务单元隔离（BU）**：基于 `BU`/`BusinessUnit` 标签隔离不同业务单元间的通信
4. **产品隔离（Product）**：基于 `Product` 标签隔离不同产品间的通信
5. **环境隔离（Environment）**：基于 `Environment` 标签隔离不同环境（生产/非生产）
6. **服务器角色（Server Role）**：基于 `ServerRole` 标签进行细粒度角色级控制

**核心特性**：
- 顺序执行：流量必须通过每一层检查，任一层拒绝则整体拒绝
- 默认阻断跨产品线通信（Inter-product is not allowed）
- 策略以标签为依据，替代传统的 IP 地址规则

## Comparison with Traditional Firewall Rules

| 维度 | 传统 IP-Based 规则 | Ordered Layer + 标签驱动 |
|------|-------------------|------------------------|
| 规则维护 | IP 变更需手动更新 | 标签自动关联，无需更新规则 |
| 动态性 | 静态，难以适应云 | 动态，随资源标签变化 |
| 扩展性 | 随账号/服务增长爆炸 | 通过 OU + 标签层级管控 |
| 管理复杂度 | 高（N^2 规则） | 低（层级 + 标签维度） |

## Connections
- [[Checkpoint-Firewall]] — Ordered Layer 是 Checkpoint 策略集的核心组织方式
- [[Inline-Layer]] — Checkpoint 策略的两种组织模式：Ordered Layer（顺序检查）vs Inline Layer（账号维度）
- [[AWS-Landing-Zone]] — 在 LZ 网络隔离架构中实施
- [[Resource-Tagging]] — Ordered Layer 依赖标签体系驱动策略执行
- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]]